远程工作安全策略参考样本

背景

远程工作在许多企业中变得司空见惯,特别是近年来高速网络、云计算及移动设备的普及,让远程工作成为可能。同时,全球性的病毒大流行等意外灾难事件的发生,推动了在家远程工作的普及。对此,昆明亭长朗然科技有限公司网络安全研究员董志军表示:远程工作为人员和业务提供了灵活性,使员工可以在家中或旅途中工作。但是,不能忽视的是,远程工作管理不当的话,会使业务网络、企业数据或设备遭受未经授权的访问或恶意软件的攻击。近年来,通过家庭远程工作电脑,让整个企业关键信息系统感染勒索软件,进而让业务系统崩溃、令业务数据遭加密或损毁的事件很多。同时,通过远程工作人员的计算设备或存储设备,让重要业务数据,甚至商业机密丢失或泄露的情况也很普遍。这些惨案给我们深刻的教训,一定要管好远程工作的安全。

通过相关的安全政策、技术和人员管控措施,可以强化远程工作的安全,如下我们分享一份通用的远程工作安全策略,供安全管理人员参考。

1.策略概述

远程工作安全策略制定了有关远程工作的规则和准则,可帮助工作人员在远离办公场所的情况下保护其设备、数据和业务网络。

2.策略目的

此远程工作安全策略的目的是帮助人员在远离办公场所时安全地工作,并保护业务网络、设备和数据免受未经授权的访问和恶意软件的侵害。

3.策略范围

该政策涵盖了在远离企业办公场所时使用企业设备或连接到企业网络的全部员工、顾问、承包商和其他关联人员。

4.策略条款

  • 所有访问公司信息资源的计算设备,无论是否归公司所有,在连接到公司信息系统之前,都必须经过IT团队的批准。
  • 远程工作人员必须采取必要的合理措施,以防止设备丢失、被盗和未经授权的使用。
  • 所有包含敏感或机密公司数据的移动计算或存储设备都必须使用加密和密码措施来保护该数据。
  • 对于在移动计算或存储设备上不再必要使用的公司数据,必须及时将这些数据从这些设备上删除。
  • 未经数据资源经理和首席信息安全官的书面许可,不得将驻留在公司网络或公司计算机上的数据库和其他公司数据下载到移动计算或存储设备。
  • 如果遭遇移动计算或存储设备的丢失或被盗,必须立即报告给IT团队和直线经理。
  • 如果移动计算或存储设备或其中包含的数据遭遇未经授权的访问,必须立即报告给IT团队和直线经理。
  • 应尽可能避免连接到公共WiFi服务,如果不得不使用公共WiFi,应依照IT部门的要求,使用VPN和其他安全措施,以帮助保护业务数据免遭不安全网络的攻击。
  • 所有访问企业网络或数据的设备都必须使用企业IT部门批准的防病毒软件进行保护。
  • 所有访问业务网络或数据的设备都必须启用闲置时间超过5分钟后自动退出功能。
  • 远程工作人员应确保仅在没有他人可能看到或拍摄公司数据屏幕图像的地方访问业务网络和数据。

政策执行

检查手段,信息团队将通过适当的方法来验证远程工作人员是否遵守了此策略,包括但不限于:使用安全检测工具、执行内部和外部审核。

例外情况,此政策的任何例外情况都必须事先获得信息团队的批准,并有书面记录。

违规处罚,所有被发现违反本政策的远程工作人员,将受到纪律处分,情节严重者会受到包括解雇的惩罚。

最后,董志军补充称:以上远程工作安全策略仅供参考借鉴,由于各家企业都有独特的文化以及IT环境,因此策略的贴合方面,有些变更是正常而必要的。当然,我们还要谦虚地说一声,我们的水平毕竟有限,如果有不当的地方,欢迎读者批评指正。

昆明亭长朗然科技有限公司设计创作了一些远程工作安全相关的通用型宣教内容,以帮助各类型的组织机构进行选择,并用于对远程工作人员进行安全知识的培训。欢迎有兴趣和有需要的客户及行业伙伴联系我们,洽谈业务合作。

  • 电话:0871-67122372
  • 手机:18206751343
  • 微信:18206751343
  • 邮箱:[email protected]
  • QQ:1767022898

电脑开着,人却不见了

不少信息安全管理策略都要求员工离开位子时,退出登录,或者锁住电脑屏幕,以防被他人非授权使用。

这项信息安全政策历史悠久,在工作站安全领域或办公室安全领域,它几乎成了继安装防病毒软件和安全补丁之后的一大安全常识。然而,这么基础的信息安全实践,仍然不被多数中国的组织机构所严格遵守。昆明亭长朗然科技有限公司信息安全管理体系观察员董志军说:我们探访过许多“离位不锁屏”的国内组织机构,他们却在积极布置双因子身份验证、或者购买入侵渗透测试服务。

诚然,在信息安全技术应用方面,我们一直在紧追世界领先水平,然而,在安全管理方面,我们却落后世界一大截。这种“重技术产品、轻管理实践”的现状是如何形成的呢?亭长朗然公司董志军表示:这同国内客户的信息安全消费观念有关,传统上,大家觉得有套网络安全系统,特别是硬件设备,摆在数据中心或机房那儿,才是安全。其实,这不仅只是面子工程的需要,更是一种无知的体现。而早期的网络安全厂商,更是多强调产品的硬件性能,而忽略产品的使用配置和日常运维,因为客户往往更愿意买设备,而不是买服务。最终形成了一种错误的观念:人们认为保障安全,就得上设备,而以往的旧设备是保障不了新形势下的安全需要的。

大型互联网厂商如BAT等将信息安全领域内的专业技能人才挖去了不少,这是一批懂得信息安全真理的精英。在互联网竞争日益激烈的态势下,这批精英人物根本不理会传统网络安全厂商的那套做法,相反,他们更多强调的是在互联网产品中内嵌安全功能,产品安全了,才能有更好的市场竞争力,而其它厂商的东西根本不能或者很少能够符合自家的商业环境。

说到底,无论是乙方厂商,还是互联网大腕,都没有多少从业人员会真正关心信息安全管理实践。而这两部分人群,往往是业界人肪较广、影响力较大的,他们的过于重视技术,而忽略管理的片面言论和行动,无疑给整个产业带来大量的负面影响,让广大客户被误导。

难道业界就没有中立的信息安全观点了吗?亭长朗然公司董志军说:在利益圈子内的人的话不可全信,但至少可以综合听取一些不同的声音,比如听技术人员谈管理,听管理人员谈技术。听一听专注于信息安全管理咨询的厂商,以及培训教育的厂商,看他们如何看待信息安全技术与管理的关系。

很多大型机构,“电脑开着,人却不见了”的情形比比皆是,他们的网络信息安全能够固弱金汤吗?他们是国家的一个个细胞单位,国家网络能够安全吗?为什么在这种情况下,传统的网络安全厂商不去提醒他们的客户改进这一点呢?因为这不符合他们的利益,这是一群自私的家伙们,口口声声说要保障客户的信息安全,却对这么严重的安全事故视而不见。因为他们知道,如果透露了这个信息安全管理问题的严重性,真正的根源被找了来了,信息安全问题获得解决了,自己的财路同时也断了。

类似的情况也是如此,很多机构一直拼命卖设备,而不帮助客户用好设备,就是怕客户的设备使用好了之后,抵御了大多数的攻击,就对购买新设备不再有兴趣了。而在甲方,不少信息安全人员也是混饭吃的,不去研究如何好好利用现在的信息安全基础设施,而总是想着借新项目的机会捞取个人好处,这是多么悲哀的一件事儿啊!

当然,我们不能要求所有的安全从业人员都是活雷锋,很多情况下,信息安全人员或无奈,或坦然,或自保,或力争……无论如何,都是在生活、工作压力之下拼打在这世界中。其实,当我们看到组织内的其他人、甲方客户、或其他的组织机构中有“电脑开着,人却不见了”的现象时,我们只需动动嘴皮子,委婉地劝说一下。这样,既积累了信息安全功德,赢得了他人的理解和信赖,更是一份信息安全从业者的良心和尊严。

在昆明亭长朗然科技公司的不断坚持下,不少客户已经走出一个误区,开始对信息安全服务变得越来越接受,而国家的产业政策也支持购买服务。也有不少客户开始强化对员工的桌面安全检查,锁屏成为一项关键的检查点。这虽然是我们的一小步,但却也是提升民族信息安全管理水平的一大步。接下来,我们相信信息安全产业的巨变将要来临,您准备好了吗?如果您还不大明白为什么不能“电脑开着,人却不见了”,或者明白这个道理,却不知如何向他人讲解,那您都需要学习一下我们的信息安全管理基础课程!这门培训课程是公开的,当然出于知识产权保护的原因,我们有在视频中加入公司的LOGO。如果您有需要使用其中的内容,特别是对中层管理人员进行信息安全意识方面的培训需求,这个课程中的内容还是很适合的。欢迎您联系我们洽谈采购。

infosec-management-course-online

电话:0871-67122372

微信:18206751343

邮件:info@securemymind.com

QQ: 1767022898